Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье объясняется, какие роли Synapse RBAC (управление доступом на основе ролей) или роли RBAC Azure вам необходимы для работы в Synapse Studio. Чтобы управлять членством в роли, см. статью «Как управлять назначениями ролей Synapse RBAC».
Краткие сведения об управлении доступом и рабочих процессах Synapse Studio
Доступ к Synapse Studio
Вы можете открыть Synapse Studio и просмотреть сведения о рабочей области и вывести список ее ресурсов Azure, таких как пулы SQL, пулы Spark или среды выполнения интеграции. Вы можете проверить, назначена ли вам какая-либо роль Synapse RBAC или роль владельца, участника, или читателя Azure в рабочей области.
Управление ресурсами
Пулы SQL, пулы Data Explorer и пулы Apache Spark можно создать, если вы являетесь владельцем Или участником Azure в группе ресурсов. Вы можете создать среду выполнения интеграции, если вы являетесь владельцем или участником Azure в рабочем пространстве. При использовании шаблонов ARM для автоматического развертывания необходимо быть участником Azure в группе ресурсов.
Вы можете приостанавливать или масштабировать выделенный пул SQL, а также настраивать пул Spark или среду выполнения интеграции, если являетесь владельцем или участником Azure рабочей области или соответствующего ресурса.
Просмотр и изменение артефактов кода
Доступ к Synapse Studio позволяет создавать артефакты кода, такие как скрипты SQL, скрипты KQL, записные книжки, задания Spark, связанные службы, конвейеры, потоки данных, триггеры и учетные данные. При наличии дополнительных разрешений эти артефакты можно также публиковать или сохранять.
Вы можете перечислить, открыть и изменить уже опубликованные артефакты кода, включая запланированные конвейеры, если вы являетесь пользователем артефактов Synapse, издателем артефактов Synapse, участником Synapse или администратором Synapse.
Выполните ваш код
Вы можете выполнять сценарии SQL в пулах SQL, если у вас есть необходимые разрешения SQL, определенные в этих пулах. Вы можете выполнять сценарии KQL в пулах Data Explorer, если у вас есть необходимые разрешения.
Вы можете запускать записные книжки и задания Spark, если у вас есть разрешения оператора вычислительной среды Synapse для данной рабочей области или конкретных пулов Apache Spark.
Имея разрешения на выполнение вычислений в рабочей области или на определенных средах выполнения интеграции, а также соответствующие разрешения на учетные данные, вы можете выполнять конвейеры.
Мониторинг выполнения и управление им
Вы можете проверять состояние выполнения записных книжек и заданий в пулах Apache Spark, если являетесь пользователем Synapse.
Вы можете просматривать журналы и отменять выполнение заданий и конвейеров, если вы являетесь оператором вычислений Synapse в рабочей области или для определенного пула Spark или конвейера.
Отладка конвейеров
Вы можете просматривать и вносить изменения в конвейеры в качестве пользователя Synapse. Если вы хотите иметь возможность отладки конвейеров, необходимо также иметь пользователя Учетных данных Synapse.
Публикация и сохранение кода
Вы можете публиковать в службе новые или измененные кодовые артефакты, если являетесь Публикователем артефактов Synapse, Участником Synapse или Администратором Synapse.
Вы можете коммитить артефакты кода в рабочую ветку репозитория Git, если в рабочей области включена поддержка Git и у вас есть права доступа в Git. При включенной поддержке Git публикация разрешена только из ветви совместной работы.
При закрытии Synapse Studio без публикации или фиксации изменений в артефактах кода эти изменения будут потеряны.
Задачи и необходимые роли
В следующей таблице перечислены распространенные задачи и роли Synapse RBAC или Azure RBAC, необходимые для каждой задачи.
Примечание.
Администратор Synapse не указан для каждой задачи, если только это единственная роль, предоставляющая необходимые разрешения. Администратор Synapse может выполнять все задачи, которые разрешено выполнять в других ролях Synapse RBAC.
Примечание.
Гостевые пользователи из другого клиента также могут просматривать, добавлять или изменять назначения ролей, если им назначена роль администратора Synapse.
Указана минимальная необходимая роль Synapse RBAC. Все роли RBAC Synapse на любом уровне предоставляют вам права пользователя Synapse в рабочей области.
Все разрешения и действия Synapse RBAC, показанные в таблице, префиксируются Microsoft/Synapse/workspaces/....
| Задача (что нужно сделать) | Роль (кем необходимо быть) | Разрешение/действие RBAC Synapse |
|---|---|---|
| Откройте Synapse Studio в рабочей области | Пользователь Synapse или владелец Azure или участник или читатель в рабочей области |
не читать ничего |
| Составьте список пулов SQL, пулов Data Explorer, пулов Apache Spark или сред выполнения интеграции и получите доступ к сведениям об их конфигурации. | Пользователь Synapse или владелец или участник Azure, или читатель в рабочей области. | не читать ничего |
| Перечисление связанных служб, учетных данных или управляемых частных конечных точек | Пользователь Synapse | читать |
| Пулы SQL | ||
| Создание выделенного или бессерверного пула SQL | Владелец или участник Azure в группе ресурсов | ничего |
| Управление выделенным пулом SQL (приостановка, масштабирование или удаление) | Владелец или участник Azure в пуле SQL или рабочей области | ничего |
| Создание скрипта SQL |
Для выполнения скрипта SQL, публикации или фиксации изменений требуются дополнительные разрешения SQL, если вы являетесь пользователем Synapse, владельцем Azure или участником рабочей области на . |
|
| Получение списка опубликованных сценариев SQL и открытие любого из них | Пользователь артефакта Synapse, издатель артефакта или участник Synapse | артефакты/чтение |
| Выполнение сценария SQL в бессерверном пуле SQL | Разрешения SQL для пула (автоматически предоставляются администратору Synapse) | ничего |
| Выполнение сценария SQL в выделенном пуле SQL | Разрешения SQL для пула (автоматически предоставляются администратору Synapse) | ничего |
| Публикация нового сценария SQL, обновление или удаление существующего сценария SQL | Издатель артефакта Synapse или участник Synapse | sqlScripts/записать, удалить |
| Фиксация изменений в сценарии SQL в репозитории Git | Необходимы разрешения Git на репозиторий | |
| Назначение администратора Active Directory в рабочей области (с помощью свойств рабочей области на портале Azure) | Владелец или участник Azure в рабочей области | |
| ПУЛЫ DATA EXPLORER | ||
| Создание пула Data Explorer | Владелец или участник Azure в группе ресурсов | ничего |
| Управление пулом Data Explorer (приостановка, масштабирование или удаление) | Владелец или участник Azure в пуле Data Explorer или рабочей области | ничего |
| Создайте сценарий KQL | Разрешения Synapse User на дополнительные действия в Data Explorer необходимы для запуска скрипта, публикации или применения изменений. |
|
| Получение списка опубликованных сценариев KQL и открытие любого из них | Пользователь артефакта Synapse, издатель артефакта или участник Synapse | артефакты/чтение |
| Выполнение сценария KQL в пуле Data Explorer | Разрешения Data Explorer для пула (автоматически предоставляются администратору Synapse) | ничего |
| Публикация нового сценария KQL, обновление или удаление существующего сценария KQL | Издатель артефакта Synapse или участник Synapse | kqlScripts/запись, удаление |
| Фиксация изменений в сценарии KQL в репозитории Git | Необходимы разрешения Git на репозиторий | |
| Пулы Apache Spark | ||
| Создание пула Apache Spark | Владелец Или участник Azure в группе ресурсов | |
| Мониторинг приложений Apache Spark | Пользователь Synapse | Читать |
| Просмотр журналов для завершенной записной книжки и выполнения заданий | Оператор мониторинга Synapse | |
| Отмена любой записной книжки или задания Spark, выполняющихся в пуле Apache Spark | Оператор вычислений Synapse в пуле Apache Spark | bigDataPools/useCompute |
| Создать описание записной книжки или задания | Для выполнения, публикации или фиксации изменений в рабочей области требуются дополнительные разрешения пользователя Synapse или владельца Azure или читателя в рабочей области |
читать |
| Перечисление и открытие опубликованных записных книжек или определений заданий, включая возможность просмотра сохраненных выходных данных | Пользователь Synapse Artifact или оператор мониторинга Synapse в рабочей области | артефакты/чтение |
| Запуск записной книжки и просмотр ее выходных данных или отправка задания Spark | Администратор Synapse Apache Spark или оператор вычислительной среды Synapse в выбранном пуле Apache Spark | bigDataPools/useCompute |
| Публикация или удаление определения блокнота или задания (включая выходные данные) в систему. | Издатель артефактов в рабочей среде или администратор Synapse Apache Spark | блокноты/записать, удалить |
| Фиксация изменений в определении записной книжки или задания в репозитории Git | Разрешения Git | ничего |
| Конвейеры, среды выполнения интеграции, потоки данных, наборы данных и триггеры | ||
| Создание, обновление или удаление среды выполнения интеграции | Владелец или участник Azure в рабочей области | |
| Мониторинг состояния среды выполнения интеграции | Оператор мониторинга Synapse | читать, integrationRuntimes/просмотрЛогов |
| Обзор запусков конвейера | Оператор мониторинга Synapse | прочитать, pipelines/viewOutputs |
| Создание конвейера | Пользователь Synapse Для отладки, добавления триггеров, публикации или фиксации изменений требуются дополнительные разрешения Synapse |
читать |
| Создание потока данных или набора данных | Пользователь Synapse Для публикации или фиксации изменений требуются дополнительные разрешения Synapse |
читать |
| Вывести список и открыть опубликованный конвейер | Пользователь артефакта Synapse или оператор мониторинга Synapse | артефакты/чтение |
| Предварительный просмотр содержимого набора данных | Пользователь Synapse и пользователь учетных данных Synapse для системного удостоверения в рабочей области | |
| Отладка конвейера с помощью среды выполнения интеграции по умолчанию | Пользователь Synapse и пользователь учетных данных Synapse в контексте полномочий системного удостоверения рабочей области | прочитать, credentials/useSecret |
| Создание триггера, включая Trigger Now (необходимо разрешение на выполнение конвейера) | Пользователь Synapse и пользователь учетных данных Synapse для системного удостоверения в рабочей области | Read, credentials/использоватьСекрет/действие |
| Выполнение или запуск конвейера | Пользователь Synapse и пользователь учетных данных Synapse для системного удостоверения в рабочей области | прочитать, учётные данные/использовать секрет/действие |
| Копирование данных с помощью средства копирования данных | Пользователь Synapse и пользователь учетных данных Synapse для идентификатора системы рабочего пространства | прочитать, учетные данные/использоватьСекрет/действие |
| Прием данных (по расписанию) | Автор Synapse и пользователь учетных данных Synapse в системном удостоверении рабочей области | чтение, учетные данные/использованиеСекрета/действие |
| Опубликовать новый, обновить или удалить имеющийся конвейер, поток данных или триггер на службе. | Издатель артефакта Synapse в рабочем пространстве | конвейеры/запись, удаление потоки данных/запись, удаление триггеры/запись, удаление |
| Фиксация изменений в конвейерах, потоках данных, наборах данных или триггерах в репозитории Git | Разрешения Git | ничего |
| СВЯЗАННЫЕ СЛУЖБЫ | ||
| Создание связанной службы (включая назначение учетных данных) | Пользователь Synapse Для использования связанной службы с учетными данными, а также для публикации или фиксации изменений необходимы дополнительные разрешения |
читать |
| Перечислите и откройте опубликованную связанную службу | Пользователь компонента Synapse | linkedServices/запись, удаление |
| Проверка подключения к связанной службе, защищенной с помощью учетных данных | Пользователь Synapse и пользователь учетных данных Synapse. | учетные_данные/использовать_секрет/действие |
| Опубликовать связанный сервис | Издатель Артефактов Synapse или Менеджер Связанных Данных Synapse | Связанные службы/запись, удаление |
| Фиксация определений связанных служб в репозитории Git | Разрешения Git | ничего |
| УПРАВЛЕНИЕ ДОСТУПОМ | ||
| Обзор назначений ролей Synapse RBAC в любой области действия | Пользователь Synapse | читать |
| Назначение и удаление назначений ролей RBAC Synapse для пользователей, групп и сервисных принципалов | Администратор Synapse в рабочей области или в области действия определенного элемента рабочей области | Назначение ролей/запись, удаление |